从646万企业的大湾区 看一带一路的网络安全合规
星期四, 八月 29, 2019
“中企通信” 是 “中信国际电讯CPC” 的子公司,属于中国中信集团旗下,致力于提供跨国 ICT(信息通信技术)服务的解决方案提供商。
作为以 “全球一站式交付能力” 为核心价值的跨国 ICT 服务商,帮助企业快速满足全球各国家和地区的合规性要求,是中企通信的挑战,也是优势、积累所在。其中,安全的合规性满足,是重中之重。
合规难点还体现在不同地区的复杂性上。最新的粤港澳 “大湾区” 是支撑 “一带一路”,“迎进来走出去” 政策的典型代表。随着 2018 年 6 月广州科学城云数据中心的正式启用,中企通信助力粤港澳 “大湾区” 的基础设施建设可以说几乎全部完成。横跨三个关税区的复杂政策,不仅要求对不同行业的国内外企业客户有一致的服务能力,还要满足大湾区复杂的安全合规要求。
7 月末,中企通信 2019 年 “解决方案日” 活动在京举行。安全牛在会后,就合规能力和大湾区的案例,采访到了中企通信四位高管,并将内容整理如下。
一、服务大湾区的三大优势以及合规复杂性挑战
安全牛:2017年初就提出的 “大湾区” 规划,今年结合 “一带一路” 建设,以及中共中央、国务院印发的《粤港澳大湾区发展规划纲要》,会有更多的贯彻落实。作为 ICT 服务提供商,中企通信如何看待大湾区在 IT 和网络安全方面的需求?
郭远达:可以说,大湾区是支撑中国 “一带一路” 的一个战略要地。我们可以从一组数据看,2017 年 10 月,大湾区的企业总量就已经超过 645.6 万,占到当时全国企业总数的 10%。这之中,就有超过 20% 的外资企业。可以说,不论是国内还是国外,企业对政策都是非常热情的。此外,大湾区企业的构成,也是非常多元且国际化的。不只是民营和外企,很多国企和央企也在积极响应政策号召。
形成这样的一个局面,我认为三个关税区是非常重要的一个点。这种地区的特殊性,成就了大湾区的战略意义。今年印发的《纲要》中也明确提及,在 “一国两制” 下,粤港澳的社会制度不同,法律制度不同,分属于不同关税区域。当然也存在挑战。市场互联互通水平有待进一步提升,生产要素高效便捷流动的良好局面尚未形成,这些既是挑战,也是我们发展的机遇。特别是在 “优化提升信息基础设施”、“扩大对外开放”、“加快发展先进制造业” 和 “培育壮大战略性新兴产业” 等方面,对中企通信而言,这是我们非常擅长的。
去年 8 月,我们在广州第二个云数据中心也正式启用。北京、上海、广州、香港四地,都已经支持同城异地灾备,这是第一点,彰显我们在信息基础设施上的优势。此外,我们的母公司中信国际电讯 CPC 在香港,集团旗下澳门电讯在澳门,而中企通信总部位于北京,可以说三地的法规、客户运营需求、以及数据安全性,都有很深厚的积累。这也是第二点,印证我们的地方优势和当地知识与资源。
还有,第三个重要优势,中企通信本身是一家服务于全球的公司。我们牵手合作伙伴,在全球 130 个国家提供网络等 ICT 服务,拥有 30 个数据中心和 18 个云平台,在亚太、北美、欧洲、中东和中亚都有安全服务覆盖。所以,无论是国内的企业要 “走出去”,还是国外的企业 “迎进来”,我们都有能力和丰富的经验,甚至包括服务人员可以支持多国家和地区的语言、熟知当地的文化,在这些细节上,都能够应对全球化的需求。
安全牛:具体到网络安全的合规呢?
邝伟基:中企通信最早在 2007 年就开始提供信息安全服务。我们大量的合规性工作,网络安全相关的,是基于 ISO 标准体系的认证。包括 ISO270001 信息安全管理体系、ISO27017 云计算服务信息安全管理体系。其他方面的合规,还有 TL9000 通讯行业质量管理体系、ISO20000 IT 服务管理体系、以及国家工信部牵头的可信云认证等。可以说,在合规方面,中企通信自身就做了大量的工作。这也是我们重要的知识及经验积累。
除了刚才提到的澳门电讯外,中信国际电讯 CPC 还在 2017 年 10 月完成了对荷兰 Linx 电信业务的收购,此次收购还包括一条波罗的海地区海底光缆系统。所以,在欧洲 12 个国家,都有我们的员工。欧洲目前最引人注目的安全合规,应该就是已经实施的通用数据保护条例 (GDPR) 了。我们本身的 ICT 业务也要做 GDPR 的合规。即使是在中国中信集团内部,都是一个非常大量的工作。而且,从内审的结果来看,GDPR 合规我们也能做好并完全符合严格的要求,真的也是经过重重磨炼才有此成绩。
当然,对于中国大陆,更多的还是《网络安全法》,已经发布今年 12 月正式实施的 “网络安全等级保护2.0”,这也是我们的客户非常关心的内容。对比来看,欧洲企业在 GDPR 的合规流程上已经开始趋于熟悉。因为这个法律已经开始生效有一段时间了。但是,中国的《网络安全法》从内容上看,给我们的感觉更像是一个方向性,可操作性要比 GDPR 强。国外法律,特别重视看实际的判例。这些目前从《网络安全法》我们还没有看到。
还有就是等保 2.0。因为我们大量的国内客户是 “走出去”,是要符合国外目标市场对应的安全合规要求。所以,我们的外资企业客户,尤其是合规意识较强的,特别重视等保。等保 2.0 国内是由公安部主导的,有《网络安全法》保障的,在国外几乎没有类似的情况。因为还没有正式实施,判例肯定要更久后,所以内容上我们也在研习。整体感觉和之前的等保主要是内容、对象上有很大差别,增加了一些新的课题,但流程上比较一致。而且,仅就内容而言,我们感觉这些变化都是非常好的。我们建议客户,从满足 ISO27001 的基础上,进行针对性的能力补充。明年,等保 2.0 正式实施后,案例也会更丰富,相信之后的工作才真正开始。
安全牛:从全球视角来看,企业应如何看待合规性挑战?
邝伟基:全球的合规性,是我们,包括客户都必须正视、面对的一个课题。无论是等保 2.0,个人隐私信息,还是网络安全或者其它行业,企业都要站在业务的角度,要能够很好的理解当地的合规性要求。刚开拓的海外市场,对于企业而言,仅依靠自身的力量是很难做到的。这也是我们的价值,即在帮助企业节省成本、提高效率的同时,完成任何国家和地区的合规要求。这不仅是技术性的问题,还是个人才的问题,经验的问题,国际化的问题,以及对接、沟通的问题。
这个过程,我们已经淌过来了,中企通信自身就是 “小白鼠”。现在,我们希望,不管你是要走出去,还是走进来,我们都可以站在业务层面帮助全球的客户解决合规性的问题。
安全牛:介绍一下我们的安全服务,我知道,仅在大湾区,我们就有两个安全运营中心 (SOC) 在运行。
詹东东:中企通信主要是整合我们安全伙伴的力量,为客户提供托管式的安全服务。在香港和广州的两个安全运营中心是一个重要的载体,提供 7*24 小时的持续性防护。
选择基于安全运营中心提供服务的方式,主要有三个考量。首先,基于 SOC,而不是单点产品的布防,可以帮助客户在考虑成本和效益的前提下,阶段性的进行安全能力建设。这是根据客户业务发展阶段的,所以也是一个持续的过程。其次,是提供纵深防御式的安全能力。这包括从最基础的防火墙、反病毒、主机入侵防护、漏洞管理,到常态化安全信息收集、安全策略和事件管理,到更上层的风险评估、目标制定,提供数据层面整体的安全运营能力。
其三,针对快速变化的威胁态势,包括很多基于自动化工具、利用 AI 进行关键资产发现的网络攻击,需要更快速的响应能力。我们认为这是一种 “反脆弱性” 能力的建设。我们可能有部分客户,会在第一轮攻击中中招,但是可以快速修复,并通过分析攻击路径,给到全球所有客户优化、改善目前安全状况的最佳建议。
安全对抗的本质,是人与人,资源与资源的对抗,而且是不对称的。所以,安全运营中心的背后,提供支撑的是我们的合作伙伴提供的生态能力,还有通过大量持有诸如 CISSP、Security+、CISA 等国际安全认证的专家服务能力。这是非常关键的。
安全牛:合作伙伴是指?
蓝泰来:合作伙伴是指我们的技术供应商伙伴,为我们的产品提供最新技术支持,共同为市场推出先进的解决方案,如 Fortinet 就是我们其中一个非常重要的合作伙伴。双方从 2010 年开始就有大量的合作,包括 NGFW、WAF、沙箱,以及他们最近集成安全防护能力的 SD-WAN 方案,都有合作。
我们不仅一起把安全能力带给客户,中企通信也是这些合作伙伴的重要客户。目前在全球,我们有超过 1500 个安全设备在部署,这些安全设备提供给我们的全球视野,可以让我们站在一个更高的维度,服务客户。
安全牛:为什么不是将安全厂商的产品整合到我们的方案中,而是选择由我们自己搭建安全运营中心,来直接想客户提供安全服务?
蓝泰来:因为我们看到了太多客户用不起来的情况。经常是客户自己的工程师花费大量时间,设置了大量安全策略,结果最后因为种种原因,基本等于全部废置。这些安全设备,很多能力都很强,但是直接放到客户手里是低效率的。由我们的团队来使用、运维和管理这些专业安全设备,并借此提供安全服务,对于客户而言,无疑将获得更大价值。
安全牛:安全 SD-WAN 更像是一个数通领域的合作,看重合作伙伴方案的哪些点?
蓝泰来:SD-WAN 方案在业界是比较受到认可的。以其中一家合作伙伴 Fortinet 来看,据我了解,流量的应用识别是 SD-WAN 和安全共通的重要底层能力。再加上 SD-WAN 专用的识别和控制芯片,整体方案的能力还是很强的。而中企通信作为 ICT 服务商,在链路资源、网络质量、以及全球的服务能力,都具有很大优势。SD-WAN 毕竟是个网络而不是安全的解决方案,再加上之前多年的合作经历,这也是双方能在这个较新的数通方案上达成合作的重要契合点。
上文受访对象包括:
邝伟基 中企通信首席信息及创新总裁、蓝泰来 中企通信产品部副总裁
郭远达 中企通信销售总经理(南中国区)詹东东 中企通信数据科学及创新副总监
相关阅读